マイケル・エゴロフ(Curve Financeの創設者)は、「雇われた」ハッカーがクロスプラットフォーム攻撃を調整していると警告しました。
DeFiプロジェクトのセキュリティの課題
エゴロフは、次のように述べています。「異なるハッカーがプラットフォーム間で協力し、同時に侵害することで、より大きな影響と利益を得ることができる。」彼は、先月に発生したCurve FinanceへのDNS攻撃を具体例として挙げました。この攻撃により、分散型金融プロトコルのフロントエンドウェブサイトが侵害され、ユーザーが悪意のあるサイトにリダイレクトされる危険がありました。
セキュリティ強化の限界
エゴロフは、彼のチームが強力なパスワードと二段階認証を採用していたにもかかわらず、Curveに対する最近の攻撃が成功した理由として、「Curveのドメインの所有権が他の誰かに通知なしに移転した」ことを挙げました。彼は、脅威をもたらす者たちの「計画的な行動」がますます一般的であると強調しています。
「誰かが支払う意思があれば、特定のプロジェクトをターゲットにするために賄賂を受け入れる者もいるかもしれない。」
さらに、エゴロフは暗号システムのセキュリティを伝統的な銀行などのレガシーインフラと比較し、SMSを用いた二段階認証は「根本的に安全ではなく、避けるべきだ」と指摘しました。ただし、暗号業界ではリスクが非常に異なるため、「すべての取引がほぼ瞬時に最終的なものとなる」と述べ、攻撃が始まると「取り消し不可能」であると強調しました。
報告書が示すセキュリティの現実
エゴロフの警告は、ブロックチェーンセキュリティ企業CertiKが5月に発表したセキュリティ報告書によって裏付けられています。この報告書では、コードの脆弱性が暗号空間で最も一般的な攻撃のタイプであることが明らかにされました。
「興味深い異常」とナタリー・ニューソン(CertiKのシニアブロックチェーンセキュリティ研究者)は述べ、コードの脆弱性が「利用された資金の大部分を占めた」と指摘しています。
この脆弱性によって、2億2900万ドル以上の損失が引き起こされました。この金額には、先月遅くにCetusプロトコルに対する約2億2500万ドルの損害が含まれ、5月の最大の単一攻撃を表しています。全体として、暗号業界では5月に9件の主要な侵害によって約3億200万ドルが流出し、4月の3億6400万ドルから約16%減少したことが報告されています。
Cetusプロトコルとオラクル操作攻撃
攻撃者は、Cetusプロトコルのスマートコントラクトの脆弱性を悪用し、偽トークンを用いて価格を操作し、流動性を排出しました。この悪用は「オラクル操作攻撃」として分類され、ブロックチェーンセキュリティファームのCyversはこの事例をDecryptに語りました。
